本帖最后由 to_phper 于 2012-08-09 23:59:08 编辑

解决方案 »

  1.   

    可以在session中同时保留这个用户的登陆时IP地址,或者登录地点。
    只要IP地址出现变动,则SESSION id无效。
      

  2.   

    https防止明文账号密码和session-cookie被窃取。至于cookie直接被人从计算机里盗走,无能为力。另外,应该在登陆时就查数据库确定用户权限并记录在SESSION里,以后就不查数据库验证权限了,因为SESSION是服务端维护的,是安全可靠的,只不过COOKIE可以被人拿来拿去。
      

  3.   

    如果cookie给人控制了也就意味着对方的电脑给人控制了,那么木马嗅探他的密码什么的就已经很简单了。所以你也就别操心了...
      

  4.   

    ++这似乎是目前流行的做法。
    CSDN也是这样做的,取消了验证码,很人性化